キーストロークを記録するワームを仕込む新種ウイルス「ZOHER」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.23(月)

キーストロークを記録するワームを仕込む新種ウイルス「ZOHER」

脆弱性と脅威 脅威動向

「BadTrans.B」や「Nimda」同様に、メールのプレビューだけで感染し、キーストロークを記録するワームを仕込む新種のウイルス「ZOHER」が発見された。このウイルスも「Shoho」同様に、Internet Explorerに存在するMIMEヘッダーの脆弱性を利用したもの。こちらも、IE 5.01 SP2、IE 5.5 SP2、もしくはIE 6.0を最小構成以外で導入することにより、回避は可能となっている。
 メールの題名は「Fw: Scherzo! 」となっており、添付ファイルとして、J「AVASCRIPT.EXE. 」というファイルがある。プレビューを開くと活動を開始し、添付ファイルを実行する仕組みとなっている。また、添付ファイルのコンテントタイプはaudio/x-wavとなっているので、Windows Media PlayerなどのAudio関連アプリケーションが同時に開かれる。


□ 関連情報

マイクロソフト
不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付
ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/current.asp?url=/japan/technet/security/frame_prekb.asp?sec_cd=MS01-020


各社の対応状況

▼トレンドマイクロ
 パターンファイル190(または990)以降で対応

ウイルス詳細:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ZOHER.A
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/index.htm

▼シマンテック
 12月24日付け以降の定義ファイルで対応

ウイルス詳細:(日本語による情報が無いため英語での掲載となっています)
http://securityresponse.symantec.com/avcenter/venc/data/w32.zoher@mm.html
定義ファイルダウンロードサイト:
http://www.symantec.co.jp/region/jp/sarcj/download.html

▼日本ネットワークアソシエイツ
 DATファイル4178以降、エンジンで4.0.70以降対応

ウイルス詳細:
http://www.nai.com/japan/virusinfo/virXYZ.asp?v=W32/Zoher@MM
DATファイルダウンロードサイト:
http://www.nai.com/japan/download/dat.asp

▼日本エフ・セキュア
 12月25日のアップデートで対応

ウイルス詳細:(名称が「Sheer」となっていますが同一のウイルスです)
http://www.europe.f-secure.com/v-descs/sheer.shtml
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×